Вопрос проверяет понимание механизма безопасности браузеров
CORS (Cross-Origin Resource Sharing) – это механизм, разрешающий веб-странице запрашивать ресурсы с другого домена, если сервер явно разрешил это. Без CORS браузер блокирует такие запросы для безопасности.
По умолчанию браузеры запрещают JavaScript-запросы к другому домену (из-за политики Same-Origin Policy). CORS позволяет обойти это ограничение, если сервер отправляет специальные заголовки, например:
Access-Control-Allow-Origin: https://example.com Примеры:
Простой запрос (GET/POST с разрешёнными заголовками):
Браузер автоматически добавляет заголовок Origin.
Сервер отвечает с Access-Control-Allow-Origin.
Предварительный запрос (OPTIONS):
Для «непростых» запросов (например, с DELETE или кастомными заголовками) браузер сначала шлёт OPTIONS, чтобы проверить разрешения.
Ошибка CORS в консоли:
Access to fetch at 'https://api.example.com' from origin 'https://your-site.com' has been blocked by CORS policy.